www.pwc.com/it

La nostra value proposition e i nostri servizi

Risk Assurance

2 | PwC

Risk Assurance | 3

Indice

Consapevolezza nella gestione dei rischi: perché è importante

Risk Assurance Services

Un approccio corretto per la gestione dei rischi aziendali pag. 5

pag. 6

pag. 7

pag. 8

pag. 11

pag. 11

pag. 12

pag. 18

pag. 20

Cosa si intende per ‘Risk Assurance’?

Prendere decisioni di business consapevoli

Risk Assurance in Italia

Quanto è fiduciosa la Vostra organizzazione della propria capacità di gestire i rischi aziendali?

Risk Assurance: le nostre soluzioni

Trend e problematiche emergenti nella gestione dei rischi

Risk Assurance ‘thought leadership’

Contatti

4 | PwC

Consapevolezza nella gestione dei rischi Perché è importante

Risk Assurance | 5

Un approccio corretto per la gestione dei rischi aziendali

Le incertezze che oggi le organizzazioni sono chiamate a fronteggiare nel perseguimento dei propri obiettivi (commercio globale e interconnessione delle aziende, intensificazione de a concorrenza, au ento de a regolamentazione, evoluzione della tecnologia, ecc.) generano effetti che variano tra rischi conosciuti, rischi emergenti e scenari di rischio potenzialmente globali.

La questione non è più se un evento inatteso e potenzialmente dannoso e possa avere delle ripercussioni anche all’interno della propria organizzazione, ma piuttosto quando questo accadrà. Analogamente, per la loro sopravvivenza, le organizzazioni non possono avere un atteggiamento solo refrattario ai rischi, ma devono saper cogliere le opportunità coerentemente con la propria cultura e strategia aziendale.

Risulta pertanto sempre più frequente interrogarsi se la ro ria or anizzazione sia sufficiente ente consa e o e

e preparata a rispondere ai rischi in modo rapido, sicuro ed efficace

Le organizzazioni di successo sono impegnate a misurarsi con una visione del futuro innovativa, capace di guidarle verso scelte coraggiose e di facile realizzazione che consentano la gestione e lo sviluppo delle loro attività in modo sicuro.

Visione innovativa e proiettata al

futuro

Innovazione

Ridefinizione delle modalità

di gestione del business

Governo e gestione

proattiva dei cambiamenti

Gestione rapida, sicura, efficace

ed efficiente dei rischi

Consapevolezza

6 | PwC

Prendere decisioni di business consapevoli

La gestione proattiva dell’organizzazione, orientata al futuro in un contesto di rischio in costante evoluzione, consente di prendere decisioni basate su presupposti solidi e assicura successo e continuità in un’economia globale in cambiamento.

Secondo la nostra esperienza, le azioni-chiave che devono essere intraprese dalle aziende per migliorare la loro sicurezza nella gestione dei rischi includono tra l’altro: • l’implementazione di nuovi modelli di business,

attraverso l’adozione di soluzioni informative solide, efficaci ed efficienti, a fine di contenere i costi e nel contempo gestire le complesse e interrelate problematiche di data management, gli investimenti nell’IT e i cyber risks;

• il miglioramento della trasparenza e della visibilità sui processi, sui controlli e sulle informazioni relative alle performance e a e aria i i non so o finanziarie, a fine di enerare a iore fiducia ne ersona e, nei partner commerciali, nei regulator e negli investitori;

• l’integrazione delle considerazioni relative ai rischi - non solo strategici - nell’agenda del top management.

È fondamentale che l’organizzazione, per ottenere e consolidare la fiducia da parte dei propri stakeholder definisca una strategia di approccio ai cambiamenti, sia consapevole delle incertezze cui è esposta, sia proattiva nella loro gestione e sappia comunicare con efficacia il proprio valore, anche in relazione alle caratteristiche del proprio Sistema di Gestione dei Rischi e di Controllo Interno.

Il raggiungimento di questi obiettivi richiede verosimilmente un cambiamento nell’operatività, in quanto:

1. i rocessi di ianificazione ‘risk-based’ non consistono solo nel formulare ipotesi su ciò che potrebbe ‘andare storto’;

2. essere preparati a gestire i rischi non consiste solo nella predisposizione di un piano di risposta ai rischi;

3. non sufficiente asarsi esc usi a ente su un approccio di gestione del rischio che utilizzi i dati storici aziendali per stimare l’impatto e la probabilità di accadimento degli eventi futuri;

4. la velocità dei cambiamenti che l’organizzazione è chiamata a fronteggiare implica un’evoluzione altrettanto rapida delle incertezze cui potrebbe essere esposta;

5. la conservazione del valore aziendale passa anche dalla capacità di comunicare.

Rischio come fattore strategico di successo: è questa la futura frontiera per la nuova leadership aziendale. Non più un atteggiamento preoccupato nel prevenire accadimenti inattesi, ma aggressività verso il cambiamento; non più una semplice e preventiva predisposizione di soluzioni contenitive, ma la ricerca di eventi sfidanti; non più l’ineluttabilità di costi aggiuntivi, ma la determinatezza di investimenti mirati.

Nicola Monti Risk Leader per l’Italia

Il percorso per costruire un business solido incomincia pertanto con un profondo grado di consapevolezza dei rischi da fronteggiare e gestire

Risk Assurance | 7

Quanto è fiduciosa la Vostra organizzazione della propria capacità di gestire i rischi aziendali?

uanto siete fiduciosi ne a ca acit de a ostra organizzazione di raggiungere gli obiettivi di crescita nell’attuale panorama dei rischi, in continuo cambiamento?

Acquisire consapevolezza

• Quali sono i potenziali rischi che possono pregiudicare il raggiungimento degli obiettivi aziendali per i prossimi 3-5 anni?

• Come tali rischi - conosciuti, emergenti e/o imprevedibili - potrebbero impattare su questi obiettivi?

• n c e odo o i a ostra or anizzazione previene e indirizza la gestione di questi rischi?

• State favorendo una cultura di consapevolezza dei rischi a tutti i livelli dell’organizzazione?

Misurare le competenze

• a ostra or anizzazione ossiede a iusta conoscenza di settore per valutare la correttezza e la coerenza delle decisioni del management a i o ietti i definiti e er s i u are a ro riate soluzioni di gestione del rischio?

• State pensando oltre i tradizionali framework e processi di risk management, in ottica di integrazione delle attività di gestione del rischio e di controllo?

• Quali passi state intraprendendo per migliorare i vostri approcci di gestione del rischio in questi contesti complessi?

• uanto sono efficaci i ostri ode i di governance e di controllo interno (inclusi i processi di gestione dei risc i ne aiutar i ad identificare e estire i risc i c ia e corre ati a i o ietti i de a ostra organizzazione?

• I vostri stakeholder anno fiducia in oi e state co unicando e estendo ta e fiducia facendo o risultare un vantaggio competitivo?

8 | PwC

Trend e problematiche emergenti nella gestione dei rischi

Rapidità dei cambiamenti

Negli ultimi anni sono stati numerosi gli sviluppi e e odific e nor ati e c e anno i icato in enti sforzi da parte delle organizzazioni. Che si tratti di nuove norme derivanti dalla crisi del credito, dalla necessità di tutela dei risparmiatori e dei cittadini o normative ambientali, la regolamentazione è ormai

un a unta ento fisso ne a enda dei re o e più severe, supervisione più invadente e maggiori responsabilità. Le organizzazioni hanno bisogno di un supporto nello sviluppo di risposte equilibrate alla regolamentazione per ridurre al minimo la loro esposizione ad eventuali rischi di non conformità.

Si assiste ad una tendenza di crescita nella manifestazione di episodi di frode. La crisi economica e a diffico t c e e aziende anno ne ra iun ere i propri obiettivi fanno sì che siano maggiori i rischi di comportamenti fraudolenti posti in essere come

unica possibilità di ‘fare il risultato’. In tali situazioni, gli effetti generati causano danni economici, di reputazione, di mercato e di prodotto il cui soggetto danneggiato è, in ultimo, sempre l’azienda.

Reputazione e brand

Privacy e sicurezza dei dati

Nell’attuale contesto di mercato, più rischioso e complesso, caratterizzato da eventi (economici, politici, ambientali) imprevedibili e improvvisi cambiamenti, gli approcci tradizionalmente utilizzati per la gestione dei rischi risultano spesso superati, non offrendo più il

livello di protezione necessario. È necessario guardare oltre i tradizionali modelli e sistemi di gestione dei rischi per evolvere verso soluzioni più idonee a fronteggiare i nuovi scenari di rischio (ad esempio: Enterprise Risk Management R

Regolamentazione

Frodi ed etica

Le minacce relative a privacy, sicurezza dei dati e furto di identità sono in costante aumento. I rischi sono elevati e gli esiti possono essere particolarmente critici. Tra essi si possono annoverare la divulgazione di informazioni critiche e/o riservate, la possibile perdita di know how, i atti finanziari ne ati i, ossi i i azioni e a i dei c ienti, l’erosione della reputazione e del valore del marchio, sanzioni da parte di entità governative. La portabilità crescente dei dati, in particolare tramite dispositivi mobili, così come la maggiore richiesta e la facile condivisione delle informazioni con terzi, clienti o partner

commerciali, hanno aumentato le possibili circostanze relative a perdita, uso illecito o compromissione di dati. La crescente attenzione dei media sulle violazioni relative a privacy, furto di identità e in generale sull’inadeguata gestione delle informazioni personali hanno aumentato l’attenzione volta alla prevenzione della divulgazione di informazioni sensibili. Le organizzazioni hanno pertanto bisogno di un sistema di gestione dei rischi che abbia al centro la protezione dei dati e delle informazioni, in linea con le nuove disposizioni in tema di protezione dei dati personali.

Per mantenere e accrescere la propria reputazione e il valore del proprio brand sul mercato, le aziende devono gestire i rischi legati ad aspetti quali la possibile perdita di dati ed informazioni critiche, l’impatto di potenziali politiche di regolamentazione, utilizzo di nuovi media e tecnologie digitali (Social, Mobile, Cloud), interesse crescente degli stakeholder verso le tematiche

ambientali. Le conseguenze di una poco appropriata gestione di tali aspetti potrebbero comportare perdita di rofitti, una a iore diffico t ne rec uta ento dei talenti, un declassamento nel rating finanziario e, in definiti a, un impatto negativo sulla capacità di competere.

Risk Assurance | 9

Costruzione e mantenimento di rapporti di fiducia con gli stakeholder

Evoluzione dei rischi ‘digital’

Technology assurance

Cloud

Gestione degli ‘incidenti’

Per le organizzazioni, la costruzione di rapporti di fiducia con i ro ri sta e o der un i erati o aziendale. Le aziende devono dimostrare la loro integrità anche in relazione a temi sensibili quali, ad esempio, le tematiche Environment, Social,

Governance er fare ci , de ono arantire c e e infor azioni finanziarie e non finanziarie fornite siano complete, accurate e valide in tutte le dimensioni di relazione con gli stakeholder rilevanti (mercati, fornitori, clienti, ecc.).

e or anizzazioni si tro ano ad affrontare sfide e opportunità derivanti dalla crescente diffusione di social media, mobile computing, cloud computing. Devono trovare il giusto compromesso nel mantenersi innovative non rinunciando a gestire in modo adeguato i rischi ‘digital’ in un contesto di cambiamento delle infrastrutture tecnologiche. Diversi studi riportano che, nonostante i progressi fatti, molti progetti IT continuano a non soddisfare i requisiti

iniziali in termini di costi e prestazioni; nell’ambito dei siste i R sono stati o te o te conse uiti o ietti i di maggiore produttività, ma nel complesso i risultati sono stati spesso inferiori alle attese. È indispensabile che il management sia oggi in grado di governare i processi di cambiamento, cogliendo le opportunità e gestendo i rischi connessi prima e meglio dei propri competitor, utilizzando le informazioni e i dati aziendali attraverso strumenti avanzati di analisi.

Alla luce dei cambiamenti in atto, sono sempre più necessari investimenti nell’Information Technology. I sistemi stanno diventando sempre più complessi; molte aziende non riescono a gestire in modo ottimale tali investimenti e non hanno adeguata consapevolezza

e comprensione dei rischi connessi. È pertanto importante potere disporre di un adeguato supporto nell’ambito della progettazione, realizzazione e gestione delle soluzioni IT per ottimizzare gli investimenti e minimizzare i rischi.

La sicurezza dei dati è una delle principali preoccupazioni per le organizzazioni che intendano effettuare la transizione verso ambienti cloud; devono tuttavia essere considerati altri aspetti, quali la conformità alle normative, la rilevanza dei dati, la loro integrità, la privacy. Le organizzazioni, i fornitori, i system integrator hanno peraltro anche la necessità di proteggere il loro brand. Per un cloud

provider è complesso garantire ai potenziali clienti una gestione dei loro dati conforme a principi di sicurezza; diventa pertanto necessario e opportuno ricorrere a certificazioni di terze parti che attestino livelli di protezione, sicurezza e privacy adeguati, contribuendo a consolidare e incrementare la Brand Reputation del fornitore.

Dati i rapidi cambiamenti nello scenario dei rischi, è necessario disporre di solidi e collaudati processi di risposta agli incidenti e processi di Business Continuity Management a i eccanis i

devono essere implementati per rispondere in modo ra ido ed efficace ad e enti otenzia ente dannosi e ad altri incidenti imprevedibili, conseguenti anche all’utilizzo dei social network.

10 | PwC

Risk AssuranceServices

Risk Assurance | 11

Che cosa si intende per ‘Risk Assurance’?

Risk Assurance in Italia

Con il termine ‘Risk Assurance’ si intende un portafoglio di soluzioni integrate, sviluppate intorno ai concetti di rischio, controllo ed affidabilità, supportate da proposte di mercato omogenee a livello di network

a c e ten ono conto de e s ecificit di ciascun aese in cui o eria o, fina izzate ad aiutare i nostri ienti a migliorare la ‘resilienza’ dell’organizzazione (ossia la capacità di reagire in maniera attiva ai rischi e ai cambiamenti), nonché a prendere decisioni consapevoli relative al proprio business.

La condivisione nell’ambito del network PwC di una robusta ‘value proposition’ ci consente di poter formulare soluzioni coerenti, nonché di garantire un approccio comune alle tematiche connesse alla gestione del rischio e conseguentemente nei relativi servizi offerti.

Siamo in grado di indirizzare tutte le necessità connesse alle tematiche correlate alla protezione e alla creazione del valore, così come alle modalità di gestione e di indirizzo dei principali rischi aziendali, attraverso servizi di assurance (incluso il rilascio di opinion e valutazioni indipendenti) e consulenza per le aziende e per i loro stakeholder.

I servizi Risk Assurance migliorano la ‘resilienza’ del vostro business aiutando il management a prendere decisioni pienamente consapevoli. Coniugando discipline specialistiche e competenze di settore, fornia o una consu enza ua ificata e indipendente, necessaria per costruire e salvaguardare il valore futuro del vostro business.

Le incertezze create dalla complessità del business, la sempre crescente dipendenza dall’IT, il contesto economico e la pressione normativa comportano l’esigenza crescente di avvalersi dei servizi Risk Assurance di PwC.

Un cliente

Siamo vicini e rapidi: capillari in Italia, di casa in tutti i mercati di approvvigionamento e di sbocco e o un ue siano diretti i ostri interessi di sviluppo. Siamo integrati: essendo un’organizzazione multidisciplinare, il nostro approccio offre soluzioni complete ed integrate.

Siamo focalizzati: i settori in cui i nostri Clienti operano non sono tutti uguali, e noi investiamo ingenti risorse per condividere esperienze e competenze di industry e metterle al servizio di ciascun Cliente.

Siamo dedicati: dedizione all’incarico, interazione sincera con il Cliente, disponibilità delle migliori competenze e qualità senza compromessi sono a nostra re o a er essere i ostri rofessionisti di fiducia

14 città(sedi e/o uffici)

Oltre 300professionisti specializzati

i anoTorinoGenovaerona

BresciaTrevisoPadovaFirenzeParmaBolognaRomaNapoliPescaraPalermo

12 | PwC

Risk Assurance:le nostre soluzioni

Lo sviluppo di metodologie mirate, la standardizzazione dei servizi offerti e la condivisione delle nostre conoscenze ed esperienze nell’ambito del nostro network, ci consentono maggiore efficienza,

capacità di un’efficace collaborazione anche a livello internazionale e trasversalità tra le differenti industry, nonché di essere costantemente orientati alla ricerca di soluzioni innovative.

Aree di mercato

Digital Risk Solutions Trust & Transparency SolutionsInternal Audit & Risk

Internal Audit Services• Internal Audit outsourcing• Internal Audit co-sourcing• Internal Audit Advisory• Quality Assurance Review

Governance, Risk & Controls• Corporate Governance• Regulatory compliance• Fraud Risk & Controls• Ris ana e ent• Business Continuity• Internal Controls Advisory

• Cybersecurity & Privacy• Data & Analytics• nter rise ste Ris s• er in ec no o ies

• Corporate Reporting• Third Party Assurance• Processi e sistemi di gestione

Risk Assurance | 13

La nostra ‘value proposition’Lavoriamo con i nostri Clienti per:• garantire il presidio completo di tutte le attività di

Internal Audit e le competenze specialistiche attese• ridurre i costi de e atti it di erifica • aiutarli a implementare/ottimizzare/integrare

le attività di compliance• formulare una valutazione dei rischi

completa e accurata• essere orientati ad una a iore efficienza attra erso

rocessi standardizzati e se ificati• migliorare la completezza e l’accuratezza delle analisi

anche attraverso strumenti di data analytics

• ecessit di s o ere ade uate erific e de Sistema di Gestione dei Rischi e di Controllo Interno, anche in situazioni di strutture, organizzative dimensionalmente limitate

• si enza di i ie are ersona e indi endente ne e atti it di erifica

• ortunit di ottenere una isione indi endente esterna all’organizzazione sull’adeguatezza e l’effettivo funzionamento del Sistema di Controllo Interno

• Necessità di garantire opportuna copertura territoriale de e atti it di erifica er rea t multi-location

• si enza di i ie are ne e atti it di erifica ersona e, di a to rofi o e con a ro riate expertise

tecniche e/o di settore

• si enza di indi iduare e i a ro riate so uzioni organizzative per la conduzione delle attività

• ortunit di definire iani di udit c e ten ano in adeguata considerazione i rischi aziendali prioritari

• Necessità di fare leva su metodologie riconosciute, efficaci ed efficienti er i ostazione e o svolgimento delle attività

• Necessità di individuare soluzioni tecnologiche adeguate a supporto delle attività

• Necessità di consolidare le competenze delle risorse dedicate allo svolgimento delle attività

• ortunit di conso idare a fiducia de i stakeholder, con particolare riguardo alle caratteristiche delle strutture preposte al controllo

• Necessità di disporre di Funzioni di Internal Audit che operino secondo metodologie consolidate, specie ove coinvolte nel monitoraggio di modelli a presidio di nor ati e s ecific e ad ese io a su orto de d 231 o del Dirigente Preposto alla redazione di documenti contabili societari)

• ortunit di oter affer are di o erare in inea con gli standard internazionali della professione

Internal Audit Outsourcing• sterna izzazione de a funzione• sterna izzazione di sin o i inter enti di audit

Internal Audit Co-Sourcing• ffianca ento, anc e su ase continuati a, a a

Funzione Internal Audit del Cliente nello svolgimento di a u udit, erationa udit, c inancia Audit, d) IT Audit, e) compliance audit (anche in re azione a nor ati e s ecific e o oca i, es s

, , ri ac , , , ecc , f ro etti di consulenza che interessano la funzione

Internal Audit Advisory• Set up e organizzazione della Funzione• Risk Assessment• efinizione di iani di udit risk-based• Rivisitazione delle metodologie operative

per lo svolgimento delle attività• Internal Audit Software Selection• Continuous Auditing & Monitoring• Indicatori e dashboard• Formazione su tematiche di governance, gestione dei

rischi, controllo interno e internal auditing

Quality Assurance Review• QAR readiness• Quality Review esterna in senso stretto o Convalida

indipendente dell’autovalutazione della Funzione• Programmi di Assurance e i iora ento

della Qualità• Benchmarking• Strategic Assessment

I nostri servizi• nterna udit utsourcin• Internal Audit Co-sourcing• Internal Audit Advisory:

- etodo o ie ris assess ent, ianificazione e svolgimento delle attività

- ode i di estione - Re ie di efficacia, efficienza e rodutti it

• Quality Assurance Review

Hot Issues Come supportiamo i nostri clienti

Internal Audit & Risk: Internal Audit Services

14 | PwC

La nostra ‘value proposition’Lavoriamo con i nostri Clienti per individuare soluzioni idonee a garantire un Sistema di Gestione dei Rischi e di Controllo Interno adeguato, capace di generare fiducia ne i in estitori e nei partner commerciali e che preveda:• identificazione di a ro riate contro isure

a mitigazione dei principali rischi aziendali e il rafforzamento di controlli già in essere

• un adeguato bilanciamento tra rischi e controlli• l’esistenza di processi in grado di disporre di

soddisfare la legislazione vigente

• Necessità di allineamento dei sistemi di governo societario e dei modelli organizzativi ai requisiti attesi dai regulators e alle best practices

• ortunit di indi iduare siste i di o ernance e ussi di reporting efficaci a fine di dis orre di informazioni adeguate e tempestive per le decisioni aziendali

• Necessità di adeguare il sistema di controllo er soddisfare re uisiti nor ati i s ecifici

• Necessità di prevenire frodi o fallimenti nei controlli e contenere l’incremento nell’esposizione ai rischi di corruzione

Corporate Governance• Analisi, valutazione e (ri)disegno dei sistemi e dei

processi di governo societario, in linea con gli obiettivi dell’organizzazione, inclusi aspetti correlati alla definizione di ruo i e res onsa i it e a attri uzione dei poteri

• Board Effectiveness (ad es. ottimizzazione della segreteria societaria, Board Induction,

oard a uation• efinizione re ie a iorna ento onitora io di

modelli organizzativi e di controllo in grado di indirizzare i residio di nor ati e s ecific e s , e e sulla Tutela del Risparmio, Rating di Legalità, ecc.)

Regulatory Compliance• ise no, a utazione e erifica dei ode i di estione

dei risc i e di contro o fina izzati a ris ondere a e necessità correlate alla legislazione vigente o di futura implementazione e ai requirements definiti da u ic e Autorità ed enti regolatori (ad es. Salute e Sicurezza sul Lavoro, Ambiente, Antitrust, ecc.)

Fraud Risk and Controls• Impostazione/review di modelli

di prevenzione anticorruzione• Policy e procedure antibribery• Fraud Risk Assessment• Policy e procedure antifrode• Dashboard e indicatori per continuous

auditing & monitoring• Formazione in tema di Fraud prevention

I nostri servizi• Corporate Governance• Regulatory Compliance• Fraud Risk & Controls• Ris ana e ent• Business Continuity• Internal Controls Advisory

Hot Issues Come supportiamo i nostri clienti

Internal Audit & Risk: Governance, Risk & Controls

Risk Assurance | 15

• ecessit di definire siste i di estione dei risc i solidi, allineati a framework internazionalmente riconosciuti e orientati ad intercettare tempestivamente i cambiamenti

• Necessità di ottimizzare le risposte alle esigenze di compliance

• ecessit di definire ade uate contro isure per garantire la continuità aziendale

• si enza di definire so uzioni or anizzati e e di processo in grado di ottimizzare i presidi di gestione dei rischi e di controllo interno

• Necessità di implementare soluzioni di onitora io e erifica dei contro i azienda i efficaci

ed efficienti

Risk Management• Analisi, valutazione e (ri)disegno dei processi

di gestione del rischio• ostruzione a utazione a iorna ento de R

Framework, delle policy e degli strumenti correlati• R software selection• erationa Ris ana e ent• Compliance Integrata

Business Continuity• Business Impact Assessment• efinizione re ie di iani di business continuity• efinizione re ie di iani e o ic er a estione

delle crisi

Internal Controls Advisory• Review / ottimizzazione del sistema

di controllo interno• Documentazione di policy e procedure• u orto a funzioni ruo i azienda i s ecifici er

o s o i ento di atti it di testin e erifica es r anis o di i i anza e s , iri ente

preposto alla redazione dei documenti contabili societari, ecc.)

• Analisi / review del sistema di controllo interno alla luce dell’introduzione delle disposizioni in tema di fatturazione elettronica

Hot Issues Come supportiamo i nostri clienti

16 | PwC

La nostra ‘value proposition’Aiutiamo i nostri Clienti a comprendere ed indirizzare i rischi e le opportunità correlati all’evoluzione tecnologica e a massimizzare il ritorno dei loro investimenti nell’Information Technology, attraverso un’adeguata comprensione e adeguamento de a iente di contro o fina izzato a a re enzione di attacchi esterni e/o di possibili perdite di dati, nonché l’implementazione di opportuni controlli e misure di sicurezza

• si enza di conoscere e residiare i risc i crescenti correlati alla cyberseurity

• Necessità di garantire la sicurezza dei sistemi per tutelare le informazioni e i dati aziendali ed indirizzare i requisiti normativi

• Necessità di presidiare la normativa in tema di protezione dei dati personali, in costante evoluzione

• ortunit di co rendere e assi izzare i otenzia i enefici er i usiness deri anti dall’utilizzo dei dati

• ecessit di arantire affida i it e inte rit dei dati e delle informazioni, disponibili in misura sempre più crescente nei sistemi aziendali

• Necessità di garantire una governance adeguata dei sistemi e un idoneo presidio dei rischi correlati all’Information Technology

• Necessità di massimizzare il ritorno degli investimenti

• IT e fare percepire adeguatamente i risultati attesi in ter ini di efficienza, standardizzazione e sicurezza

• si enza di indirizzare e issues corre ate ai cambiamenti nei sistemi, anche attraverso review

ua ificate ed indi endenti

• Necessità di avere adeguata consapevolezza dei rischi e delle opportunità correlate all’evoluzione tecnologica e di far evolvere di conseguenza l’approccio all’IT Risk & Governance

Cybersecurity & Privacy• Privacy Compliance (incl. GDPR): readiness,

adeguamento e monitoraggio• Game of Threats (simulatore Cybersecurity)• Information Security Assessment• Adeguamento governance IT correlata alle normative e

ai rischi connessi all’Information Security

Data & Analytics• Data Migration & Quality• Data Mining & business intelligence• Continous Auditing and Monitoring• Compliance & Audit Management Tools (es. Cashfinder),• a atura re ie dei rocessi attra erso stru enti

di data analysis (Celonis, Perceptive)• Data science & analytics

Enterprise System Risks• IT Resilience• IT Risk Diagnostic• IT Regulatory Compliance• a utazione e testin dei contro i enera i

sui sistemi informativi• SAP CCA, SAP ACE, SAP security review, SAP Hana pre/post

implementation review, contro i confi ura i i• Project Assurance: Pre-Implementation Support, Project Monitoring

& Control, Project Assurance Diagnostic, Special-Purpose Support, Go-Live Assessment, Post-Implementation Support

• IT Control Framework: disegno, valutazione e testing• Licences Compliance Audit/Assessment• Definizione di requisiti contrattuali, verifiche

e attestazioni per outsourcing di servizi IT

Emerging Technologies• Adeguamento dell’IT Governance in relazione

all’introduzione di nuove tecnologie• dentificazione e estione dei risc i corre ati a introduzione di nuo e

tecnologie (Blockchain, Machine Learning, Internet of Things, Robotic Process Automation, realtà aumentata, ecc.), anche attraverso attività di audit e assurance

• Social Media Risk & Governance

I nostri servizi• Cybersecurity & Privacy• Data & Analytics• nter rise ste Ris s• er in ec no o ies

Digital Risk Solutions

Hot Issues Come supportiamo i nostri clienti

Risk Assurance | 17

La nostra ‘value proposition’iutia o i nostri ienti a fare ade uato affida ento

(interno ed esterno) sulle proprie performance, attraverso attività di consulenza e di assurance indipendente orientate a proteggere la reputazione aziendale, migliorare la trasparenza delle informazioni e costruire fiducia intorno ai fornitori c ia e

• Necessità di indirizzare l’interesse crescente degli stakeholder verso le tematiche sociali e ambientali

• Necessità di garantire che le informazioni fornite a esterno s ecie non finanziarie siano co ete, accurate e valide in tutte le dimensioni di relazione con gli stakeholder rilevanti (mercati, fornitori, clienti, ecc.)

• ortunit di inte rare e raziona izzare infor ati a finanziaria e non finanziaria er assi izzare a fiducia de i stakeholder

• ortunit di rote ere e conso idare a re utazione attra erso una ri orosa e ua ificata attività di assurance delle informazioni (non finanziarie rodotte a esterno

• ortunit di ac uisire a utazioni indi endenti in erito ai rocessi azienda i, anc e affidati in outsourcing

• Necessità di mantenere e accrescere la reputazione e il valore del proprio brand sul mercato

• ortunit di conoscere e a orizzare e informazioni in merito alle interazioni dei propri prodotti e servizi con l’ambiente ed il contesto esterno ed al valore per essi generato

• ecessit di definire siste i di estione so idi ed affida i i er indirizzare i risc i

• Necessità di un’adeguata comprensione ed indirizzo delle issues derivanti dalle obbligazioni contrattuali

• ortunit di assicurare un ade uato residio de rischio correlato alle controparti aziendali

Corporate Reporting• ise no e i e entazione di rocessi fina izzati a a

rendicontazione di infor azioni non finanziarie es Dichiarazioni Non Finanziarie, Bilanci di sostenibilità),

• Reporting Integrato• Costruzione/review di modelli di sustainability,

SDG & Climate Change Reporting• ESG/HSE Due Diligence• Questionari per indici di sostenibilità

Third Party Assurance• Assurance bilanci di sostenibilità

e Dichiarazioni Non Finanziarie• Attestazioni ISAE 3000/3402 e SSAE18

Processi e sistemi di gestione• Costruzione e review di sistemi di gestione ambientale

ed in materia di salute e sicurezza sul lavoro• Strategie in tema di sostenibilità e analisi di materialità• Stakeholder engagement• Life Cycle Assessment• Shared Value Measurement• Commercial Assurance• Food supply & Integrity Services• Responsible investing & human rights• Costruzione ed implementazione di soluzioni

organizzative e di controllo a presidio del rischio controparti (personale, fornitori, partner commerciali, ecc definizione de framework, documentazione di procedure, attività di valutazione e monitoraggio, reporting

I nostri servizi• Corporate Reporting• Third Party Assurance (attraverso l’uso di standard

riconosciuti, ad es • Processi e sistemi di gestione

Trust & Transparency Solutions

Hot Issues Come supportiamo i nostri clienti

18 | PwC

Risk Assurance ‘thought leadership’

Il contesto attuale, in continuo cambiamento, genera maggiori incertezze per le organizzazioni e rende più diffici e co rendere da do e deri ano i nuo i risc i

tre a so ide indicazioni etodo o ic e, offre interessanti approfondimenti e chiavi di lettura sulle tematiche connesse alla gestione dei rischi e sulle problematiche che le organizzazioni sono chiamate oggi a fronteggiare.

Su incarico del Committee of Sponsoring Organizations (CoSO), PwC ha sviluppato i principali framework di riferimento metodologico riconosciuti a livello internazionale per progettare e realizzare un efficace iste a di ontro o nterno e di estione dei Rischi (Internal Control Integrated Framework e ERM Framework).

Attraverso i nostri Centri di Eccellenza, inoltre, monitoriamo le effettive pratiche delle organizzazioni per disporre di osservatori aggiornati sulle tematiche di interesse prioritario in tema di governo societario. Di seguito, è riepilogato un elenco di alcune nostre recenti ‘thought leadership’, che siamo in grado di mettere a disposizione dei nostri Clienti e di commentare con i nostri specialisti.

Risk Assurance | 19

D. Lgs. 231/01 - Indagine nell’ambito delle società quotate

State of ComplianceRisk in review

CEO Survey

State of the Internal Audit Study

SDG reporting challenge Private Equity ResponsibleInvestment Survey

Corporate Directors Survey

Global State of Information Security Survey - Privacy and Data

Global State of Information Security Survey - Cyber

Internal Auditing - Indagine nelle società quotate

Nicola MontiPartner | Risk Assurance Leader+39 02 66720573nicola.monti@pwc.com

Paolo BersaniPartner +39 011 5773273paolo.bersani@pwc.com

Giovanni BlasiPartner | Coordinatore Trust & Transparency Solutions+39 06 570832402giovanni.blasi@pwc.com

Giuseppe GarzilloPartner | Coordinatore Internal Audit+39 02 66720559giuseppe.garzillo@pwc.com

Luigi LodigianiAssociate Partner +39 06 570252481luigi.lodigiani@pwc.com

Massimiliano PizzardiPartner | Coordinatore Governance, Risk & Controls+39 02 66720500 massimiliano.pizzardi@pwc.com

Dino PonghettiAssociate Partner | Coordinatore Digital Risk Solutions+39 011 5567768dino.ponghetti@pwc.com

Bruno CampisiAssociate Partner+39 02 7785807bruno.campisi@pwc.com

Antonio CastroAssociate Partner+39 06 570832391 antonio.castro@pwc.com

Alfredo GallistruPartner+39 02 7785483alfredo.gallistru@pwc.com

This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the infor-ation contained in t is u ication it out o tainin s ecific rofessiona ad ice o re resentation or arrant e ress or i ied is i en as to t e accurac or

co eteness of t e infor ation contained in t is u ication, and, to t e e tent er itted a , rice ater ouse oo ers d isor , its e ers, e o ees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it.

© 2019 PricewaterhouseCoopers SpA and PricewaterhouseCoopers Advisory SpA. All rights reserved. PwC refers to PricewaterhouseCoopers SpA and rice ater ouse oo ers d isor and a so eti es refer to t e net or ac e er fir is a se arate e a entit ease see c co structure

for further details. This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.

Contatti